A gyökérkészleteket nevezhetjük a rosszindulatú kódok (rosszindulatú programok) technikailag legkifinomultabb formájának, és az egyik legnehezebb felfedezni és kiküszöbölni. Az összes típusú rosszindulatú program közül valószínűleg a vírusok és férgek kapják a legtöbb nyilvánosságot, mivel általában elterjedtek. Sok emberről ismert, hogy vírus vagy féreg sújtotta, de ez egyértelműen nem jelenti azt, hogy a vírusok és férgek a legpusztítóbb malware. Vannak veszélyesebb típusok a rosszindulatú programok számára is, mivel általában lopakodó módban működnek, nehéz felismerni és eltávolítani, és nagyon hosszú ideig észrevétlenül is maradhatnak, csendes hozzáféréssel, adatok ellopásával és az áldozat gépein található fájlok módosításával. .
Egy ilyen lopakodó ellenségre példa a rootkit - olyan eszközök gyűjteménye, amelyek felválthatják vagy megváltoztathatják a végrehajtható programokat, vagy akár az operációs rendszer kernelét is annak érdekében, hogy rendszergazdai szintű hozzáférést szerezzenek a rendszerhez, amely felhasználható a telepítéshez spyware, keyloggers és egyéb rosszindulatú eszközök. Alapvetően a gyökérkészlet lehetővé teszi a támadó számára teljes hozzáférést az áldozat gépein keresztül (és valószínűleg az egész hálózathoz, amelyhez a gép tartozik). A rootkit egyik ismert felhasználása, amely jelentős veszteséget / kárt okozott, a Valve Half-Life 2: Source játékmotor forráskódjának lopása volt.
A gyökérkészletek nem valami új - évek óta léteznek, és ismert, hogy különféle operációs rendszereket működtettek (Windows, UNIX, Linux, Solaris stb.). Ha nem a rootkit-események egy vagy két tömeges előfordulása lenne (lásd a Híres példák részt), amely felhívta a figyelmet rájuk, akkor valószínűleg ismét elkerülték a figyelmüket, kivéve a biztonsági szakemberek körének kis körét. Mára a rootkit nem szabadította fel teljes pusztító potenciálját, mivel nem olyan széles körben elterjedt, mint a rosszindulatú programok más formái. Ez azonban kevés kényelmet nyújthat.
Rootkit mechanizmusok ki vannak téve
A trójai lovakhoz, vírusokhoz és férgekhez hasonlóan a rootkit-ek telepítik magukat a hálózati biztonsági és operációs rendszer hibáinak kihasználásával, gyakran felhasználói beavatkozás nélkül. Noha vannak olyan rootkit-ek, amelyek e-mail mellékletként vagy egy legitim szoftver programcsomagban jönnek létre, ártalmatlanok, amíg a felhasználó nem nyitja meg a mellékletet vagy nem telepíti a programot. De a rosszindulatú programok kevésbé kifinomult formáitól eltérően, a rootkit-ek nagyon mélyen beszivárognak az operációs rendszerbe, és különös erőfeszítéseket tesznek jelenlétük álcázására - például a rendszerfájlok módosítása révén.
Alapvetően kétféle rootkit-készlet létezik: kernel szintű rootkit és alkalmazás szintű rootkit. A kernel szintű gyökérkészletek kódot adnak az operációs rendszer kerneléhez vagy módosítják azt. Ez eszközmeghajtó vagy betölthető modul telepítésével érhető el, amely megváltoztatja a rendszerhívásokat, hogy elrejtse a támadó jelenlétét. Így ha megnézed a naplófájlokat, akkor nem fog gyanús tevékenységet látni a rendszeren. Az alkalmazás szintű rootkit kevésbé kifinomult és általában könnyebben észlelhető, mert nem az operációs rendszer, hanem az alkalmazások végrehajtható fájljait módosítják. Mivel a Windows 2000 a végrehajtható fájl minden változásáról beszámol a felhasználónak, megnehezíti a támadó észrevétlenségét.
Miért jelent kockázatot a gyökérkészlet?
A gyökérkészletek hátsó ajtóként viselkedhetnek, és küldetésük általában nem egyedül vannak - gyakran kémprogramok, trójai lovak vagy vírusok kísérik őket. A gyökérkészlet célja változhat az egyszerű rosszindulatú örömtől, ha valaki más számítógépébe behatol (és elrejti a külföldi jelenlét nyomait), egészen a bizalmas adatok (hitelkártya-számok vagy forráskódok) illegális beszerzésének egész rendszerének felépítéséig, mint a Half esetében. -Life 2).
Általában az alkalmazás szintű rootkit-ek kevésbé veszélyesek és könnyebben észlelhetők. De ha a pénzügyek nyomon követésére használt programot egy rootkit „javít”, akkor a pénzkiesés jelentős lehet - azaz a támadó felhasználhatja hitelkártya-adatait néhány elem megvásárlásához, és ha Ha időben észreveszi a gyanús tevékenységeket a hitelkártya-egyenlegen, akkor valószínű, hogy soha többé nem fogja látni a pénzt.
A kernelszintű rootkit-ekhez képest az alkalmazásszintű rootkit-ek édesek és ártalmatlanok. Miért? Mivel az elméletben a kernel szintű rootkit minden ajtót nyit a rendszer számára. Miután az ajtók nyitva vannak, a rosszindulatú programok más formái is becsúszhatnak a rendszerbe. Ha kernelszintű rootkit-fertőzés van, és nem tudjuk könnyen felismerni és eltávolítani (vagy egyáltalán, amint azt később látni fogjuk), az azt jelenti, hogy valaki más felett is teljes mértékben ellenőrizheti a számítógépet, és bármilyen módon felhasználhatja azt - például, hogy támadást indítson más gépekkel szemben, és azt a benyomást kelti, hogy a támadás a számítógépéből származik, nem pedig valahol másutt.
A gyökérkészletek felismerése és eltávolítása
Nem az, hogy más típusú rosszindulatú programokat könnyű felismerni és eltávolítani, de a kernelszintű rootkit-ek különös katasztrófa. Bizonyos értelemben ez a Catch 22 - ha van rootkit, akkor az anti-rootkit szoftverhez szükséges rendszerfájlokat valószínűleg módosítják, ezért az ellenőrzés eredményei nem bízhatnak benne. Sőt, ha egy rootkit fut, akkor sikeresen módosíthatja a víruskereső programok által támasztott fájlok listáját vagy a futó folyamatok listáját, így hamis adatokat szolgáltathat. Ezenkívül a futó rootkit egyszerűen eltávolíthatja a vírusvédelmi programfolyamatokat a memóriából, aminek következtében az alkalmazás leállhat vagy váratlanul leállhat. Ezzel azonban közvetetten megmutatja jelenlétét, így gyanúvá válhat, ha valami rosszul fordul elő, különösen a rendszerbiztonságot fenntartó szoftverekkel.
A rootkit jelenlétének észlelésének ajánlott módja az indítás egy alternatív adathordozóról, amelyről ismert, hogy tiszta (vagyis biztonsági másolat, vagy mentő CD-ROM), és ellenőrizze a gyanús rendszert. Ennek a módszernek az az előnye, hogy a rootkit nem fog futni (ezért nem lesz képes elrejteni magát), és a rendszerfájlokat nem aktívan manipulálják.
A rootkit-ek felismerésére és eltávolítására (megkísérlésére) van lehetőség. Ennek egyik módja az eredeti rendszerfájlok tiszta MD5 ujjlenyomatainak összehasonlítása a jelenlegi rendszerfájlok ujjlenyomatainak összehasonlítása érdekében. Ez a módszer nem túl megbízható, de jobb, mint semmi. A kernel hibakereső használata megbízhatóbb, de ehhez alapos ismerete szükséges az operációs rendszerről. A rendszergazdák többsége ritkán is igénybe veszi ezt, különösen akkor, ha vannak ingyenes, jó programok rootkit észlelésre, például Marc Russinovich RootkitRevealer. Ha ellátogat a webhelyére, részletes utasításokat talál a program használatáról.
Ha felismeri a gyökérkészletet a számítógépen, a következő lépés az, hogy megszabaduljon tőle (könnyebb mondani, mint megtenni). Néhány rootkit esetén az eltávolítás nem lehetséges, hacsak nem akarjuk eltávolítani a teljes operációs rendszert sem! A legnyilvánvalóbb megoldás - a fertőzött fájlok törlése (feltéve, ha tudod, melyeket pontosan zárják be) feltétlenül alkalmazhatatlan, ha a létfontosságú rendszerfájlokat érintik. Ha törli ezeket a fájlokat, akkor valószínű, hogy soha többé nem fogja indítani a Windows rendszert. Kipróbálhat néhány rootkit eltávolító alkalmazást, mint például az UnHackMe vagy az F-Secure BlackLight Beta, de ne számíts túl sokra ahhoz, hogy biztonságosan eltávolítsa a kártevőt.
Úgy tűnhet, hogy sokkterápia, de a rootkit eltávolításának egyetlen módja a merevlemez formázása és az operációs rendszer újratelepítése (természetesen tiszta telepítő adathordozóról!). Ha van kérdése, honnan szerezte a rootkit-t (egy másik programban volt csomagolva, vagy valaki elküldte neked e-mailben?), Ne is gondoljon arra, hogy ismét futtatja vagy megkeresi a fertőzés forrását!
A gyökérkészletek híres példái
A gyökérkészleteket évek óta használják lopakodóan, de csak tavaly évig, amikor megjelentek a hírcímekben. A Sony-BMG esete és azok digitális jogkezelési (DRM) technológiájával, amely védte a jogosulatlan CD-másolást egy rootkit telepítésével a felhasználó gépére, éles kritikát váltott ki. Volt pert és bűnügyi nyomozást. A Sony-BMG-nek az ügy rendezésének megfelelően ki kellett vonnia CD-jét az üzletekből, és a bevásárolt példányokat tiszta példányokra kellett cserélnie. A Sony-BMG-t azzal vádolták, hogy titokban álcázta a rendszerfájlokat annak a másolásvédelem-programnak a elrejtése érdekében, amely szintén privát adatokat küldött a Sony webhelyére. Ha a felhasználó eltávolította a programot, a CD-meghajtó működésképtelenné vált. Valójában ez a szerzői jogi védelmi program megsértette az összes magánélethez való jogot, illegális technikákat alkalmazott, amelyek tipikusak az ilyen típusú rosszindulatú programok számára, és mindenekelőtt az áldozat számítógépét kiszolgáltatottá tette a különböző támadásokkal szemben. Jellemző volt, hogy egy nagyvállalat, mint például a Sony-BMG, az arrogáns utat először azzal állította, hogy ha a legtöbb ember nem tudja, mi a gyökérkészlet, és miért érdekli őket, hogy van ilyen. Nos, ha nem lennének olyan srácok, mint Mark Roussinovich, aki először csengetett a Sony gyökérkészletéről, akkor a trükk működhetne, és több millió számítógépet megfertőzhettek volna - egészen globális bűncselekmény a vállalat szellemének állítólagos védelmében. ingatlan!
Hasonló a Sony esetéhez, de amikor nem volt szükséges csatlakozni az internethez, ez a helyzet a Norton SystemWorks esetében. Igaz, hogy mindkét eset etikai vagy műszaki szempontból nem hasonlítható össze, mivel míg a Norton rootkit (vagy rootkit-szerű technológiája) módosítja a Windows rendszerfájljait a Norton Protected Recycle Bin elhelyezéséhez, a Nortont aligha lehet vádolni rosszindulatú korlátozási szándékokkal. felhasználói jogok vagy a rootkit előnyei, mint a Sony esetében. Az álcázás célja az volt, hogy mindenki (felhasználó, adminisztrátor stb.) És mindent (más programok, maga a Windows) elrejtsen a felhasználók által törölt fájlok biztonsági másolatát tartalmazó könyvtárából, amelyet később vissza lehet hozni a biztonsági mentési könyvtárból. A Védett Lomtár funkciója még egy biztonsági háló hozzáadása volt a gyors ujjakhoz, amelyeket először törölnek, majd azt gondolják, hogy törölték-e a megfelelő fájlokat -, ezáltal további lehetőséget biztosítva a Lomtárból törölt fájlok visszaállítására ( vagy amelyek megkerülték a Lomtárat).
Ez a két példa alig jelenti a rootkit-tevékenység legsúlyosabb eseteit, de megemlítésre érdemes, mivel ezekre az esetekre a figyelem felhívásával a rootkit-ek egészére felhívták a közérdeket. Remélhetőleg most már többen nem csak tudják, mi a gyökérkészlet, hanem vigyázzon, ha van ilyen, és képesek felismerni és eltávolítani őket!
